Se han descubierto varias vulnerabilidades en el kernel de Linux que pueden provocar una escalada de privilegios, denegación de servicio o fugas de información.

• CVE-2023-3390: Una falla de use-after-free en el subsistema netfilter causada por un manejo incorrecto de la ruta de error puede resultar en una denegación de servicio o una escalada de privilegios.
• CVE-2023-3610: Una falla de use-after-free en el subsistema netfilter causada por un manejo incorrecto de refcount en la ruta de destrucción de la tabla y la cadena puede resultar en una denegación de servicio o una escalada de privilegios.
• CVE-2023-20593: Se descubrió que, en circunstancias microarquitectónicas específicas, es posible que un registro vectorial en las CPU AMD Zen 2 no se escriba en 0 correctamente. Esta falla permite que un atacante filtre información confidencial a través de procesos simultáneos, hiperprocesos e invitados virtualizados.

linux

Para la distribución estable antigua (bullseye), estos problemas se han solucionado en la versión 5.10.179-3.

Este problema también se puede mitigar mediante una actualización de microcódigo a través del paquete amd64-microcode o una actualización de firmware del sistema (BIOS/UEFI). Sin embargo, el lanzamiento inicial del microcódigo de AMD solo proporciona actualizaciones para las CPU EPYC de segunda generación. Varias CPU Ryzen también se ven afectadas, pero aún no hay actualizaciones disponibles.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es